GitHub - juergen2025sys/NETSHIELD: Automated IPv4 threat intelligence: combined blacklist from 100+ feeds, confidence scoring, ASN reputation, geo-tagged per country. Updated every 3h.

⚡ Quick Start · 📊 Blocklisten · 🎯 Scoring · 🏗️ Architektur · ⚙️ Workflows · 📡 Feeds

📊 Key Statistics

152

_{IP-Quellen
(dynamisch)}

414,606

_{Aktive IP-Drohungen
(Confidence ≥65)}

34,756

_{CVE/Exploit IPs}

72,928

_{Honeypot IPs}

🕒 Letztes Update	2026-06-12 07:22 UTC	🔄 Intervall	8× täglich
📅 IP-Retention	180 Tage	⚙️ Aktive Workflows	24
🌍 Abdeckung	250+ Länder

NETSHIELD aggregiert, bewertet und bereinigt täglich IP-Bedrohungsdaten aus über 120 Quellen (dynamisch, wächst laufend durch Auto-Discovery): rund 100 öffentliche Remote-Feeds, 5 lokale Sub-Workflow-Feeds (CVE, Honeypot, Honigtopf, Bot-Detector, AbuseIPDB API) und laufend neu per GitHub-Discovery entdeckte Feeds. Das System unterscheidet aktive Bedrohungen von veralteten statischen Listen und liefert daraus qualitativ hochwertige Blocklisten für OPNsense, pfSense und iptables.

📋 Blocklisten

Datei	Zweck	Einträge	Empfohlen für
🛡️ `active_blacklist_ipv4.txt`	Aktive Bedrohungen · letzte 30 Tage · Score ≥ 65	414,606	OPNsense / pfSense / Firewall
🔶 `blacklist_confidence40_ipv4.txt`	Mittleres bis hohes Vertrauen · Score ≥ 40	5,108,880	Erweiterte Filterregeln
📦 `combined_threat_blacklist_ipv4.txt`	Alle IPs · 180-Tage-Fenster	6,263,824	Audit / SIEM
👁️ `watchlist_confidence25to39_ipv4.txt`	Watchlist · Score 25–39	70,447	Monitoring
💣 `cve_exploit_ips.txt`	CVE-Exploits & aktive C2-Server	34,756	IDS / IPS
🍯 `honeypot_ips.txt`	Honeypot-bestätigte Angreifer	72,928	Ergänzung
🍯 `honigtopf_ips.txt`	Honigtopf Community Honeypot (API)	15,291	Ergänzung
🤖 `bot_detector_blacklist_ipv4.txt`	Bot- & Scanner-IPs	17,949	Web-Schutz
🔗 `reputation_blacklist.txt`	Reputation Top-IPs (API, Score ≥50)	9,967	Ergänzung
🌐 `asn_blocklist_firewall.txt`	Hochrisiko-ASNs · Score ≥ 50	19	ASN-Blocking

Note

combined_threat_blacklist_ipv4.txt: Wenn die Datei über 90 MB wächst, werden zusätzlich Parts combined_threat_blacklist_ipv4_part1.txt, _part2.txt (etc.) mit je ca. 40 MB erzeugt. Die Hauptdatei bleibt bestehen, solange sie unter 100 MB ist (GitHub-Limit). Firewall-Konsumenten, die am GitHub-Limit angestoßen werden, sollten stattdessen die Parts als separate URLs importieren.

🌍 Geo-Listen

countries/              →  IPv4-Ranges pro Land, nach Kontinent sortiert
continents/             →  Zusammengefasste Ranges pro Kontinent
all_countries_ipv4.txt  →  Alle Länder in einer Datei

🎯 Wie funktioniert die Bewertung

Jede IP bekommt einen Confidence-Score (0–100) aus vier Dimensionen:

Score = Quellen-Qualität (40) + Aktualität (30) + Persistenz (20) + Bekannt seit (10)

Dimension	Gewicht	Logik
🏅 Quellen-Qualität	`40`	HQ-Feed = 40 · 5+ Feeds heute = 35 · 3+ heute = 28 · 2+ heute = 20 · 5+ gesamt = 15 · 3+ gesamt = 10 · 2+ gesamt = 5
⏱️ Aktualität	`30`	Heute = 30 · ≤ 3 Tage = 25 · ≤ 7 Tage = 20 · ≤ 14 Tage = 12 · ≤ 30 Tage = 6
🔁 Persistenz	`20`	14+ Tage = 20 · 7 Tage = 15 · 3 Tage = 10 · 2 Tage = 6 · 1 Tag = 2
📆 Bekannt seit	`10`	90+ Tage = 10 · 30+ Tage = 6 · 14+ Tage = 3

Important

Nur HQ-Feeds (Feodo, AbuseIPDB, Spamhaus, DataPlane, FireHOL u. a.) bestimmen die Lebenszeit einer IP. Statische Mega-Listen erhöhen den Score, können eine IP aber nicht am Leben halten. Nach 180 Tagen ohne HQ-Bestätigung wird eine IP automatisch entfernt. Watchlist-IPs ohne HQ-Bestätigung laufen bereits nach 30 Tagen ab.

Score-Schwellen

Score	Liste	Verwendung
🔴 ≥ 65	`active_blacklist`	Firewall · direktes Blocking
🟠 ≥ 40	`confidence40`	Erweiterte Regeln
🟡 25–39	`watchlist`	Nur Monitoring
⚪ < 25	`combined`	Audit / SIEM

🏗️ Architektur

~120 Quellen · dynamisch (Remote + Lokal + Auto-Discovered)
        │
        ▼
┌─────────────────────────────────────────────┐
│         Update Combined Blacklist           │  ← Haupt-Engine · 8× täglich
│                                             │
│  ┌─────────────┐  ┌──────────────────────┐  │
│  │  seen_db    │  │ False-Positive-Set   │  │
│  │  (Cache)    │  │ (Whitelist-Filter)   │  │
│  └──────┬──────┘  └──────────────────────┘  │
│         │                                   │
│   Score-Berechnung · HQ/Non-HQ Trennung     │
│   IP-Lebenszeit: 180T (HQ) / 30T (Watchlist)│
└──────────┬──────────────────────────────────┘
           │
     ┌─────┼─────────────────┐
     ▼     ▼                 ▼
  active  combined      confidence40
  ≥65     180T          ≥40 / watchlist
    │       │                │
    ▼       ▼                ▼
 OPNsense  Audit/SIEM    Analyse

Sub-Workflows (vor Combined):
  CVE Mapper ──────┐
  Honeypot Monitor ├──→ Lokale .txt-Dateien ──→ Combined liest ein
  Honigtopf        │
  Bot-Detector ────┘

Enrichment (nach Combined):
  Geo-Tagger ──────→ blacklist_geo_enriched.json
  ASN Scorer ──────→ asn_reputation_db.json
  Score Decay ─────→ Alterungs-Report (read-only)

⚙️ Workflows

🔧 Kern-Pipeline

Workflow	Zeitplan	Aufgabe
Update Combined Blacklist	8× täglich (alle 3h)	Feeds laden, seen_db aktualisieren, combined + active Blacklists schreiben
Confidence Blacklist	8× täglich (+45 min)	confidence40 + watchlist aus seen_db berechnen
False Positive Checker	3× täglich	Whitelist-CIDRs prüfen → false_positives_set.json
NETSHIELD Report Generator	alle 30 Minuten	NETSHIELD_REPORT.md + README-Statistiken aktualisieren

📡 Datenquellen (Sub-Workflows)

Workflow	Zeitplan	Aufgabe
CVE-to-IP Mapper	täglich 04:00	C2/Exploit-IPs → cve_exploit_ips.txt
Honeypot Monitor	täglich 23:00	Honeypot-Feeds → honeypot_ips.txt
Honigtopf	täglich 22:15	Honigtopf API → honigtopf_ips.txt
Bot-Detector Blacklist	täglich 22:45	Bot-IPs → bot_detector_blacklist_ipv4.txt
Auto Feed Discovery	wöchentlich So 04:30	GitHub nach neuen Feeds durchsuchen

🔍 Enrichment & Monitoring

Workflow	Zeitplan	Aufgabe
Geo-Tagger	wöchentlich So 07:45	Blacklist-IPs geo-anreichern via ScaniteX
ASN Reputation Scorer	täglich 02:00	ASN-Scoring → asn_reputation_db.json
Score Decay Monitor	wöchentlich So 07:00	Alterungs-Report (read-only)
Feed Health Monitor	täglich 01:00	Feed-URLs auf Erreichbarkeit prüfen
Workflow Health Checker	4× täglich	Python-Code + Production Health Checks (seen_db, Output-Sanity, Drift, Feed-Ausfälle)
Update All Countries IPv4	Mo + Mi 01:30	Länder/Kontinente IPv4-Ranges synchronisieren

🤝 Community

Workflow	Trigger	Aufgabe
Community IP Report	Issue mit Label `community-report`	Community-gemeldete IPs validieren und eintragen

🕐 Datenfluss & Timing

22:15  Honigtopf ─────────────────────────┐
22:45  Bot-Detector Blacklist ────────────┤
23:00  Honeypot Monitor ──────────────────┤
00:00  Update Combined Blacklist ─────────┼──→ seen_db Cache
00:45  Confidence Blacklist ──────────────┘    (8× täglich wiederholt)
01:00  Feed Health Monitor
01:15  Workflow Health Checker ←──────────── (4× täglich: 01:15, 07:15, 13:15, 19:15)
01:30  Update All Countries (Mo+Mi)
02:00  ASN Reputation Scorer
04:00  CVE-to-IP Mapper
04:30  Auto Feed Discovery (So)
05:00  False Positive Checker
07:00  Score Decay Monitor (So)
07:45  Geo-Tagger (So)

🤝 Community Reports

Verdächtige IPs können über das Issue-System gemeldet werden:

Issue mit Label community-report erstellen
System validiert die IP automatisch (nur öffentliche IPv4)
IP landet als Watchlist-Eintrag in der seen_db
Bei 3 unabhängigen Meldungen → Promotion zur aktiven Blacklist
Issue wird automatisch geschlossen

Tip

Limit: 5 Reports pro User pro Tag.

📈 Reports & Monitoring

Datei	Inhalt
📊 `NETSHIELD_REPORT.md`	Gesamtübersicht + Feed Health (alle 30 min)
💚 `feed_health_report.md`	Status aller Feed-URLs
⚙️ `workflow_health_report.md`	Workflow-Analyse (Python-Syntax, Cron-Timing, Guards)
🔀 `combined_threat_blacklist_report.md`	Feed-Statistik pro Lauf
🌍 `geo_tagger_report.md`	Geo-Verteilung der Blacklist-IPs
🏢 `asn_reputation_report.md`	ASN-Scoring mit Abuse-Dichte
📉 `score_decay_report.md`	Alterungs-Analyse der seen_db
🔎 `auto_feed_discovery_report.md`	Neu entdeckte Feeds + Bewertung

📡 Feed-Quellen

NETSHIELD bezieht Daten aus folgenden Kategorien:

Kategorie	Beispiele	HQ
Abuse-Tracker	Feodo, ThreatFox, URLhaus (abuse.ch)	✅
Blocklist-Aggregatoren	FireHOL Level 1–4, blocklist.de, DShield	✅
Honeypot-Netzwerke	DataPlane, Turris Sentinel, Honigtopf (API)	✅
Reputation-Feeds	AbuseIPDB (API + Mirrors), ipsum, CINSscore	✅
C2/Botnet-Tracker	C2-Tracker, MISP C2 Intel Feeds	✅
Threat Intelligence	Spamhaus DROP, Emerging Threats, Threatview	✅
Community-Feeds	GitHub-Repos (auto-discovered), Bot-Detector	❌
Brute-Force-Listen	CrowdSec, danger.rulez.sk, blocklist.de/ssh	✅

Important

HQ-Feeds (rund die Hälfte aller Remote-Quellen) bestimmen die Lebenszeit einer IP. Non-HQ-Feeds erhöhen den Confidence-Score, können IPs aber nicht am Leben halten.

📁 Dateistruktur

Repository-Layout anzeigen

NETSHIELD/
├── .github/workflows/                   # GitHub Actions Workflows
├── continents/                          # IPv4-Ranges pro Kontinent
├── countries/                           # IPv4-Ranges pro Land
│   ├── africa/ · asia/ · europe/
│   ├── north_america/ · oceania/ · south_america/
│
├── active_blacklist_ipv4.txt            # → Firewall (Score ≥65, 30 Tage)
├── blacklist_confidence40_ipv4.txt      # → Erweiterte Regeln (Score ≥40)
├── combined_threat_blacklist_ipv4.txt   # → Audit / SIEM (180 Tage)
├── watchlist_confidence25to39_ipv4.txt  # → Monitoring (Score 25–39)
│
├── cve_exploit_ips.txt                  # CVE/C2-IPs (täglich)
├── honeypot_ips.txt                     # Honeypot-Feeds (täglich)
├── honigtopf_ips.txt                    # Honigtopf API (täglich)
├── bot_detector_blacklist_ipv4.txt      # Bot-Detector (täglich)
├── reputation_blacklist.txt          # Reputation API (Round-Robin)
├── asn_blocklist_firewall.txt           # ASN-Blocking (Score ≥50)
│
├── asn_reputation_db.json               # ASN-Scoring-Daten
├── blacklist_geo_enriched.json          # Geo-Anreicherung
├── auto_discovered_feeds.json           # Auto-entdeckte Feeds
├── false_positives_set.json             # FP-Whitelist
├── feed_health_status.json              # Feed-Status
├── seen_db_meta.json                    # seen_db Metadaten (DB im Cache)
│
├── NETSHIELD_REPORT.md                  # Haupt-Dashboard
└── README.md

🔒 Schutzmechanismen

Mechanismus	Beschreibung
🛑 Leerungsschutz	Jeder Workflow prüft MIN_ENTRIES vor dem Schreiben — bei zu wenigen Ergebnissen bleibt die alte Datei erhalten
⚪ False-Positive-Filter	Umfangreiche Whitelist (CDN, DNS, Mail, Cloud-Provider) verhindert Blocking legitimer Infrastruktur
🏅 HQ/Non-HQ-Trennung	Nur verifizierte HQ-Feeds verlängern die Lebenszeit einer IP — statische Listen können IPs nicht am Leben halten
🔁 Push-Retry	5 Versuche mit git rebase bei gleichzeitigen Commits
🔐 Concurrency-Lock	Jeder Workflow läuft max. 1× gleichzeitig
📦 Cache-Isolation	Verschiedene Workflows nutzen eigene Cache-Prefixe (v2, fp, afd, community)

_{Automatisch aktualisiert · NETSHIELD_REPORT.md}

_{⬆ Nach oben}

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Repository files navigation

📊 Key Statistics

152

414,606

34,756

72,928

📋 Blocklisten

🎯 Wie funktioniert die Bewertung

Score-Schwellen

🏗️ Architektur

⚙️ Workflows

🕐 Datenfluss & Timing

🤝 Community Reports

📈 Reports & Monitoring

📡 Feed-Quellen

📁 Dateistruktur

🔒 Schutzmechanismen

About

Uh oh!

Releases

Packages

Uh oh!

Contributors

Uh oh!

Languages

Name		Name	Last commit message	Last commit date
Latest commit History 6,257 Commits
.github		.github
continents		continents
countries		countries
scripts		scripts
tests		tests
.gitignore		.gitignore
LICENSE		LICENSE
NETSHIELD_REPORT.md		NETSHIELD_REPORT.md
README.md		README.md
SECURITY.md		SECURITY.md
active_blacklist_ipv4.txt		active_blacklist_ipv4.txt
all_countries_ipv4.txt		all_countries_ipv4.txt
asn_blocklist_firewall.txt		asn_blocklist_firewall.txt
asn_reputation_db.json		asn_reputation_db.json
asn_reputation_report.md		asn_reputation_report.md
auto_discovered_feeds.json		auto_discovered_feeds.json
auto_feed_discovery_report.md		auto_feed_discovery_report.md
blacklist_confidence40_ipv4.txt		blacklist_confidence40_ipv4.txt
blacklist_geo_enriched.json		blacklist_geo_enriched.json
blacklist_geo_enriched_part1.json		blacklist_geo_enriched_part1.json
blacklist_geo_enriched_part2.json		blacklist_geo_enriched_part2.json
blacklist_geo_enriched_part3.json		blacklist_geo_enriched_part3.json
bot_detector_blacklist_ipv4.txt		bot_detector_blacklist_ipv4.txt
bot_detector_report.md		bot_detector_report.md
combined_threat_blacklist_ipv4.txt		combined_threat_blacklist_ipv4.txt
combined_threat_blacklist_report.md		combined_threat_blacklist_report.md
community_reported_ips.txt		community_reported_ips.txt
community_reports_log.txt		community_reports_log.txt
cve_exploit_ips.txt		cve_exploit_ips.txt
cve_exploit_report.md		cve_exploit_report.md
dead_feed_report.md		dead_feed_report.md
false_positive_report.md		false_positive_report.md
false_positives_log.txt		false_positives_log.txt
false_positives_set.json		false_positives_set.json
feed_health_report.md		feed_health_report.md
feed_health_status.json		feed_health_status.json
feed_urls_cache.json		feed_urls_cache.json
geo_tagger_report.md		geo_tagger_report.md
gitignore		gitignore
honeypot_ips.txt		honeypot_ips.txt
honeypot_report.md		honeypot_report.md
honigtopf_ips.txt		honigtopf_ips.txt
honigtopf_report.md		honigtopf_report.md
reputation_blacklist.txt		reputation_blacklist.txt
score_decay_log.txt		score_decay_log.txt
score_decay_report.md		score_decay_report.md
seen_db_backup.json.gz		seen_db_backup.json.gz
seen_db_meta.json		seen_db_meta.json
stale_feed_report.md		stale_feed_report.md
tweetfeed_ips.txt		tweetfeed_ips.txt
tweetfeed_report.md		tweetfeed_report.md
watchlist_confidence25to39_ipv4.txt		watchlist_confidence25to39_ipv4.txt
workflow_health.md		workflow_health.md
workflow_health_report.md		workflow_health_report.md
workflow_health_status.json		workflow_health_status.json

Folders and files

Latest commit

History

Repository files navigation

📊 Key Statistics

152

414,606

34,756

72,928

📋 Blocklisten

🎯 Wie funktioniert die Bewertung

Score-Schwellen

🏗️ Architektur

⚙️ Workflows

🕐 Datenfluss & Timing

🤝 Community Reports

📈 Reports & Monitoring

📡 Feed-Quellen

📁 Dateistruktur

🔒 Schutzmechanismen

About

Topics

Resources

License

Security policy

Uh oh!

Stars

Watchers

Forks

Releases

Packages 0

Uh oh!

Contributors

Uh oh!

Languages

Packages